Trezor: rimossa una falla dal wallet
Trezor: rimossa una falla dal wallet
Altcoin

Trezor: rimossa una falla dal wallet

By Alfredo de Candia - 4 Set 2020

Chevron down
Ascolta qui
download

Molti utenti avranno ricevuto nelle ultime ore una mail in merito all’aggiornamento del proprio hardware wallet che si è aggiornato alla versione v1.9.3 per il modello Trezor One e alla versione v2.3.3 per il modello Model T.

Ebbene questi aggiornamenti contengono una patch ad un attacco della serie “man in the middle” che permetteva di recuperare la passphrase dell’hardware wallet e quindi rubare tutti i fondi.

La caratteristica di strumenti come Trezor è che creano un wallet e tutti gli indirizzi derivati da esso partono dalla stessa frase seed, quindi basta inserire questa per poter accedere a tutti i wallet. 

In cosa consiste la falla su Trezor

Questo attacco è stato spiegato dal team che ha scoperto la falla e l’ha riportata al team di Trezor, ottenendo una ricompensa per il bounty.

È stato illustrato come una volta venga inserita la passphrase non c’è un controllo ulteriore se effettivamente se sia l’utente o meno a confermare l’effettivo inserimento.

Ed è qui che, modificando un qualsiasi wallet, possiamo sfruttare un attacco del tipo “man in the middle” e quindi, una volta ottenuta la passphrase, i criminali possono muovere i fondi della vittima dato che non c’è nessuna conferma o avviso da parte dell’hardware.

Inoltre, la falla si può sfruttare per mettere fuori lo stesso utente e quindi chiedere un riscatto per poter sbloccare l’hardware wallet.

Ovviamente c’è anche da tenere a mente la complessità della passphrase utilizzata ed è buona norma utilizzare diverse lettere, numeri e caratteri speciali oppure una serie di parole di una lista, che rientra sotto la dicitura di BIP-039.

Ricordiamo che questa è l’ennesima vulnerabilità che questo wallet ha dovuto risolvere in pochi mesi, dimostrando che non sempre un hardware wallet sia la scelta giusta o che comunque bisogna sempre essere vigili sul tipo di wallet che si usa.

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.